To se na Vás takhle jednou obrátí Turris CSIRT team se sdělením že skrz vaše zařízení je generován podezřelý provoz do internetu, skenování portů. Začnete tedy pomocí tcpdump se pokoušet zachytit takový provoz a detekovat napadené zařízení ve vaší síti a skončíte u toho že na Turrisu nasadíte IDS systém SNORT a pak zařízení konečně odhalíte a sjednáte nápravu. Nasazení SNORTu je snadné

opkg install snort

Konfigurace /etc/snort/snort.conf už může být trochu problém, ale po přečtení dokumentace je i to zvládnutelné a pro základní detekci postačí minimální konfigurační zásahy v podobě nastavení vaší sítě

ipvar HOME_NET

nastavit logování někam na permanentní storage direktivou:

config logdir:

a odkomentování portscan detekce

preprocessor sfportscan

kde zároveň nastavíte do jakého logu má portscany zapisovat

pak už stačí spustit snort na síťovém rozhraní, kde chcete detekci provádět třeba takto

snort -c /etc/snort/snort.conf -i br-lan

a čekat jetli i ve vaší síti se objeví provoz, o kterém zatím ani netušíte. Možnosti nástroje SNORT jsou však mnohem rozsáhlejší, k tomu však doporučuji nastudovat některý z mnoha publikovaných článků nebo knih. Důležitá je ta motivace, zjištění jestli z mojí sítě také náhodou nějaký nekalý provoz neodchází, třeba také odhalíte děravý android na mobilu přítelkyně. Přeji mnoho zdaru při detekování a zábavy při samostudiu.